Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Банковский троян Chaes устанавливает вредоносные расширения для Chrome
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Банковский троян Chaes устанавливает вредоносные расширения для Chrome

01.02.2022

Обнаружена масштабная кампания банкера Chaes, ради которой были скомпрометированы около 800 сайтов на WordPress. Троян атакует преимущественно бразильских пользователей, и в своих атаках задействует пять вредоносных расширений для браузера Chrome.

Активность Chaes обнаружили эксперты компании Avast, которые сообщают, что новая кампания вредоноса стартовала в конце 2021 года. Исходно малварь была обнаружена еще в 2020 году, аналитиками компании Cybereason, и тогда (как и сейчас) она была нацелена на клиентов банков Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre и Mercado Pago.

Теперь исследователи рассказывают, что атака начинается, когда жертва посещает один из взломанных сайтов. Там пользователь видит всплывающее окно с просьбой установить фейковое приложение Java Runtime.

MSI-установщик такого «приложения» содержит три вредоносных файла (install.js, sched.js, sucesso.js), которые подготавливают среду Python для загрузчика следующего этапа. Если пользователь следует инструкциям, малварь инициирует сложную процедуру доставки банкера, которая завершается развертыванием нескольких модулей.

«Для Chaes характерна многоэтапная доставка, в которой задействованы такие среды, как JScript, Python и NodeJS, а также двоичные файлы, написанные на Delphi, и вредоносные расширения для Google Chrome, — говорят исследователи. — Конечная цель Chaes — похитить учетные данные, хранящиеся в Chrome, а также перехватить логины и пароли от популярных в Бразилии банкингов».

Некоторые промежуточные пейлоады не только зашифрованы, но и скрыты в закомментированном коде внутри HTML-страниц домена awsvirtual[.]blogspot.com. На заключительном этапе атаки JavaScript-дроппер загружает и устанавливает в систему жертва до пяти вредоносных расширений для Chrome:

  • Online — Delphi-модуль, используемый для фингерпринтинга жертвы и передачи системной информации на управляющий сервер хакеров;
  • Mtps4 (MultiTela Pascal) — бэкдор на базе Delphi, основной целью которого является подключение к управляющему серверу и ожидание выполнения ответного Pascal Script;
  • Chrolog (ChromeLog) — ворует пароли из Google Chrome, модуль тоже написан на Delphi;
  • Chronodx (Chrome Noder) — JavaScript-троян, который при обнаружении запуска браузера Chrome немедленно закрывает его и открывает собственный экземпляр Chrome, содержащий вредоносный модуль, ворующий банковскую информацию;
  • Chremows (Chrome WebSocket) — банковский JavaScript-троян, который перехватает нажатия клавиш и клики мыши в Chrome с целью кражи учетных данных (для пользователей Mercado Livre и Mercado Pago).

В настоящее время кампания по распространению Chaes все еще активна, и так будет продолжаться до тех пор, пока все скомпрометированные WordPress-сайты не будут защищены. Аналитики Avast утверждают, что некоторые из сайтов, которые используются для доставки полезных нагрузок, очень популярны в Бразилии, поэтому количество зараженных систем, вероятно, очень велико.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Вирусы
Опубликовал: shellmann
Просмотров: 2543
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}